DigiCert 警告称,由于域控制验证 (DCV) 的不合规问题,该公司正大规模撤销已经发放的 SSL/TLS 证书,数量超过8万个。
DigiCert 是提供 SSL/TLS 证书的著名证书颁发机构 (CA) 之一,包括域验证 (DV)、组织验证 (OV) 和扩展验证 (EV) 证书。这些证书用于加密用户与网站或应用程序之间的通信,从而提高安全性,防止恶意网络监控和中间人攻击。
为域颁发证书时,证书颁发机构必须首先执行域控制验证 (DCV) 以确认客户拥有该域。用于验证域所有权的方法之一是在证书的 DNS CNAME 记录中添加一个带有随机值的字符串,然后对域执行 DNS 查找以确保随机值匹配。
根据 CABF 基线要求,随机值应由域名分隔,并带有下划线。否则,域与用于验证的子域之间存在冲突的风险。但DigiCert称,最近在一些基于CNAME的验证案例中没有在随机值中包含下划线前缀。
一个已事发5年的错误DigiCert表示,造成这种错误的根本原因是2019年8月的系统更新,导致删除了某些验证路径中的自动下划线添加,影响了 2019 年 8 月至 2024 年 6 月期间的 83267 个证书。2024 年 6 月 11 日,一个用户体验提升项目通过整合随机值生成过程,修复了这个长达5年都未发现的问题。7 月 29 日,DigiCert 在调查一份关于生成随机值的单独报告时正式披露了这一问题。
目前DigiCert已通知 6807 名受影响的客户,要求他们尽快替换其证书,方法是登录其 DigiCert 帐户,生成证书签名请求 (CSR),并在通过 DCV 后重新颁发证书。需要注意的是,DigiCert 将在 24 小时内(UTC时间 7 月 31 日 19:30 之前)撤销受影响的证书。如果在此之前未完成该过程,则将导致网站或应用程序的连接丢失。
这一事态发展促使美国网络安全和基础设施安全局 (CISA) 发布了一份警报,指出“撤销这些证书可能会导致依赖这些证书进行安全通信的网站、服务和应用程序暂时中断。
参考来源:
https://www.bleepingcomputer.com/news/security/digicert-mass-revoking-tls-certificates-due-to-domain-validation-bug/